前言:
高效读书,一张逻辑图读懂、读薄书中重点。
注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。
目录
基础安全措施逻辑思维图
安全域划分
传统的安全域划分
典型的Web服务
大型系统安全域划分
生产网络和办公网络
系统安全加固
Linux加固
应用配置加固
远程访问
账号密码
网络访问控制
补丁管理
日志审计
服务器4A
定义
基于LDAP
基于堡垒机
基础安全措施逻辑思维图
安全域划分
传统的安全域划分
图6-1是一个典型的传统中小型企业的安全域划分,虚线表示网络边界,也正好是一个安全域。
在传统的安全域划分中还会通过硬件防火墙的不同端口来实现隔离。但是如今这种方法越来越多地只适用于办公网络,对于大规模生产网络, 这种方法可能不再适用。
典型的Web服务
典型的Web服务通常是接入层、应用层、数据层这样的结构,其安全域和访问控制遵循通用的模型,如图6-2所示。
大型系统安全域划分
在大型互联网服务中,一般可以用图6-4来抽象表示对外提供的服务的关系。当然,这 只是一个对典型服务区域的抽象,真正的结构可能比图示要庞大得多。
生产网络和办公网络
这里只介绍办公网络和生产网络连接部分所涉及的安全域问题,如图6-5所示。
- 生产网络的SSH 22端口在前端防火墙或交换机上默认阻止访问。
- 远程访问(运维连接)通过VPN或专线连接到机房生产网络。
- 通过生产网络的内网而非外网登录各服务器或自动化运维平台。
- 办公网络中运维环境、发布源和其他OA环境VLAN隔离。
- 虽然在同一个物理办公地点,但运维专线和办公网络的接入链路各自独立。
- 为保证可用性,运维专线最好有两条以上且来自不同的ISP,防止单链路故障时无法运维。
- 跳板机有所有的运维操作审计。
系统安全加固
Linux加固
应用配置加固
远程访问
账号密码
网络访问控制
安全域和访问控制的区别在于,安全域是更加高层次的圈地运动,而NACL相对更具体化,针对的是每一个系统;安全域相对固化,基本不会变动,而NACL则会应需而变
在海量IDC追求弹性运维的架构中,可能NACL无法实施到理想状态,这就要求在两个方面做补偿
资产权重划分到位,对最高安全优先级的网络追求多维和细粒度NACL,余下的可适当放松。
补丁管理
架构容灾能力:支持有损服务,灰度和滚动升级,好的架构应该支持比如让逻辑层的某些功能服务器下线,接入层把流量负载均衡到其他服务器,打完补丁后再切回来。
日志审计
服务器4A
定义
4A 指:账户(Account)、认证(Authentication )授权(Authorization )审计(Audit)。
基于LDAP
LDAP的方案可以使用LDAP服务器作为登录的SSO,统一托管所有的服务器账号, 在服务器端对于 Linux 系统只要修改 PAM ( Pluggable Authentication Modules), Windows 平台则推荐pGina ( pGina是一个开源插件,作为原系统凭证提供者GINA的替代品,实现 用户认证和访问管理),使登录认证重定向到LDAP服务器做统一认证。
基于堡垒机
在Radius上新建用户Richard,为该用户生成SSH的公私钥对,使用自动化运维工具将公 钥分发到该用户拥有对应权限的服务器上。用户的SSH连接由堡垒机托管,登录时到Radius 服务器使用动态令牌认证身份,认证成功后授权访问其私钥,则对于有SSH公钥的服务器该用 户都可以登录。网络访问控制上应设置服务器SSHD服务的访问源地址为堡垒机的IP
共有条评论 网友评论